“Google Workspace for Education” e la privacy: ruolo docenti, responsabile trattamento dati, linee guida: scarica un esempio di DPIA
La didattica digitale integrata, introdotta, possiamo dire ufficialmente, nel periodo pandemico, fa parte oggi del sistema didattico intesa essa, infatti, come metodologia nuova di insegnamento e, dunque, di apprendimento. La progettazione della didattica in modalità digitale deve tenere conto del contesto e salvaguardare la sostenibilità delle attività previste e, complessivamente, un generale livello di inclusione, avendo cura che i contenuti e le metodologie non siano solamente la mera trasposizione di quanto abitualmente viene svolto in presenza ma incrementino il complessivo intervento formativo nella scuola.
La DDI, non intesa più come nel periodo emergenziale da pandemia, e l’inevitabile insegnamento da remoto implicano l’uso di processi formativi con l’utilizzo di strumentazione informatica (personal computer, tablet, smartphone) e di tecnologie, inevitabilmente, online di condivisione e di cooperazione. Tale meccanismo può avvenire (anzi, possiamo affermare, avviene) anche a partire dalle tradizionali organizzazioni in classe e in laboratorio aprendo l’aula al mondo e a contesti inimmaginabili sino a poco tempo fa. L’impiego di meccanismi di condivisione e cooperazione con l’utilizzo di tecnologie cloud, comunque, implica rischi collegati al trattamento dei dati personali dei fruitori (alunni e docenti e non solo di essi, anche di esperti esterni, professionisti, genitori se coinvolti).
Cosa è Google Workspace for Education Fundamentals
Google Workspace for Education Fundamentals (prima era noto, invece, come Google Suite for Education, assai noto durante la pandemia) è un pacchetto di applicazioni che permette di interagire utilizzando e facendo leva su modalità collaborative anche (dunque, non solo) a distanza, a beneficio, a supporto, a integrazione della didattica. In modo tipico ci riferiamo a:
- Google Meet è un’applicazione di teleconferenza che consente di svolgere lezioni e riunioni da lontano.
- Google Drive è un servizio che concede di produrre, conservare, catalogare, avere in comune e cambiare documenti online, anche in modalità collaborativa e senza bisogno che sul proprio computer sia installato alcun programma, unicamente entrando tramite il proprio account.
- Google Classroom è un servizio che consente ai docenti, invece, di realizzare una classe virtuale per coordinare, eventualmente in aggiunta a quella che si determina in presenza, la comunicazione, i materiali, i compiti e le date con gli allievi, in maniera diretta e in forma online.
Come utilizzare tali applicazioni
Per poter adoperare queste applicazioni ad ogni allievo è data una casella di posta Gmail con un indirizzo prodotto, possibilmente (noi suggeriamo, unicamente) dal proprio cognome e nome seguito dal nome del dominio dell’Istituto. Gli allievi potranno adoperare le credenziali della casella di posta data per entrare sulla piattaforma di e-learning di istituto e alle eventuali (solitamente) numerose applicazioni web utili per la didattica.
Un insieme di strumenti flessibili e di facile utilizzo per l’apprendimento
Possiamo, senza dubbio, affermare che Google Workspace for Education Fundamentals è un insieme di strumenti flessibili e di facile uso per l’apprendimento, la collaborazione (Classroom) e la comunicazione (Gmail e Google Meet). Questa suite consente alla scuola di usufruire di strumenti didattici già concretamente essenziali senza che ci sia un esborso economico.
E il trattamento? Quali sono le responsabilità?
Il Titolare del Trattamento, cioè la scuola, rappresentato legalmente dal D.S. pro tempore, riveste un ruolo di controllo e guida anche in tale materia. Il DS, ovvero, il Titolare del Trattamento, ha il compito di stabilire, in maniera inequivocabile, quali siano le regole di comportamento per l’utilizzo della strumentazione elettronica e di vigilare sulla sua realizzazione. Il Titolare del Trattamento deve ancora nominare i responsabili esterni che trattano dati personali per conto della scuola ai sensi e per gli effetti dell’art. 28, comma 3 del GDPR.
Il ruolo dei Docenti?
Il loro ruolo centrale nella creazione di compiti e contenuti deve essere associato ad un loro accertamento nei confronti di tutte quelle attività soggetti a violazioni della privacy. Gli insegnanti, di fatto e concretamente, sono responsabili della documentazione accessibile ai gruppi di lavoro e sorvegliano sull’esatto svolgimento delle operazioni. A tal riguardo, il Titolare del Trattamento (il Dirigente nella fattispecie) si impegna ad attribuire ai docenti il compito di supervisione sulle attività didattiche su piattaforma informatica e a fornire agli stessi indicazioni sulle modalità più opportune con cui trattare i dati personali, ai fini dell’articolo 2-quaterdecies del D.Lgs. 196/2003 e dell’articolo 4 del Regolamento UE 2016/679.
Il Responsabile della Protezione dei Dati (RPD/DPO): chi è? cosa fa?
Il Responsabile della Protezione dei Dati (RPD/DPO) ha il compito di dare sostegno al titolare, ai docenti e interessati, per ciascuna di quelle questioni che concernano e che riguardano la protezione dei dati personali all’interno dell’ambito di applicazione del trattamento dati. Possibili amministratori di sistema vengono nominati esclusivamente dal Dirigente Scolastico quali responsabili del trattamento limitatamente alla gestione dei sistemi informatici, cooperano con il DPO e il DS nel fornire consigli e pareri limitatamente allo stato delle risorse informatiche dell’amministrazione.
Google Workspace è il Responsabile Esterno del Trattamento
Google Workspace, in pratica, viene a configurarsi, assolutamente, come un Responsabile Esterno del Trattamento. Si riconosce, infatti, dopo l’accordo con l’Istituto, la conformità degli strumenti proposti dato che con la caduta del Privacy Shield, in pratica lo “scudo per la privacy” fra UE e USA (meccanismo di autocertificazione per le società stabilite negli USA che vogliono ricevere dati personali dall’Unione Europea) l’impiego dei dati da parte delle aziende americane deve essere regolamentato da documentazioni e accordi caratteristici e in altra sede. La scuola, di fatto (lo fanno tutte quelle che utilizzano la piattaforma) riconosce la circostanza che Google Workspace offre garanzie sufficienti per porre in essere misure tecniche ma anche di tipo organizzativo, adeguate affinché il trattamento accontenti i requisiti del GDPR e assicuri la tutela dei diritti della scuola, in generale, e dei fruitori dei servizi. Peculiare attenzione va posta nei confronti dei fornitori di servizi cloud, ove richiesti. Si ricorda inoltre che, sulla base di quanto atteso dalla circolare AGID n. 2 del 9 aprile 2018, le Pubbliche amministrazioni possono avvalersi unicamente di servizi cloud abilitati (la lista aggiornata è consultabile sul sito dell’AGID). A tal riguardo Workspace di Google Cloud Italy Srl risulta essere qualificata dal 2711-2019 nella tipologia SaaS per la categoria: Servizi per la fiscalità, Servizi demografici, Servizi interni alle PA.
Ci sono standard applicabili al trattamento?
Allo stato attuale non risultano standard, certificazioni o codici di condotta che possono essere applicati al trattamento in esame. L’European Data Protection Board (EDPD) ha reso note le “Raccomandazioni 01/2020” che sono relative alle misure che completano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE”, che specificano i comportamenti da seguire riguardo al trasferimento di dati all’estero. Si sottolinea come con la caduta del Privacy Shield l’adopero dei dati da parte delle aziende americane deve essere regolamentato da accordi caratteristici.
Le Linee Guida per la Didattica Digitale Integrata (DDI)
Il Ministero dell’Istruzione ha pubblicato nell’estate del 2020 (ma eravamo in piena emergenza Covid) le Linee Guida per la Didattica Digitale Integrata (DDI), attese dal Piano per la ripresa della scuola e sottoposte alla verifica del Consiglio Superiore della Pubblica Istruzione. Il documento racchiude utilissime e adoperabilissime indicazioni operative al fine di fornire ciascuna scuola possa dotarsi di un Piano scolastico per la didattica digitale integrata che, ora per motivi doversi e utili all’acquisizione di nuove modalità operative, dovrà essere allegato a quello che è il Piano triennale per l’offerta formativa adottato dall’Istituto. In tale elaborazione, ora più del periodo pandemico, devono necessariamente essere coinvolte tutte le componenti della comunità scolastica dando apposita comunicazione a docenti, famiglie e studenti sui suoi contenuti. Pur trattandosi di un accorgimento prodotto di una situazione emergenziale oggi, possiamo dire con certezza e autorevolezza pedagogica e metodologica, che contiene interamente la sua valenza in considerazione della necessaria innovazione che rappresenta questa metodologia applicativa e tecnologica-multimediale per la didattica. In base e per gli effetti della circolare AGID n. 2 del 9 aprile 2018, le P.A. e, dunque, le scuole possono avvalersi unicamente di servizi cloud abilitati (la lista aggiornata può essere trovata sul sito dell’AGID). In proposito Workspace di Google Cloud Italy Srl risulta essere qualificata dal 2711-2019 nella tipologia SaaS per la categoria: Servizi per la fiscalità, Servizi demografici, Servizi interni alle PA.
DPIA e trattamento dati
La DPIA viene redatta a trattamento dati, naturalmente, già iniziato. L’adozione della suite con i servizi per la scuola offerti gratis da Google, difatti, è stata un passaggio indispensabile per poter assicurare il mantenimento di una attività didattica nel periodo emergenziale dovuto al Covid_19. Il Gruppo di lavoro congiunto Ministero dell’istruzione-Ufficio del Garante per la protezione dei dati personali, di cui al Decreto del Capo di Gabinetto prot. n. 1885 del 5 giugno 2020, nel documento “Didattica Digitale Integrata e tutela della privacy: indicazioni generali” del settembre 2020 ha fornito, di fatto, a tutte le scuole delle linee di indirizzo comuni e i necessari e indispensabili principi generali per l’attivazione della DDI con peculiare attenzione agli aspetti legati alla sicurezza in rete e alla tutela dei dati personali. A tal riguardo è sempre utile rivedere il Provvedimento del 26 marzo 2020 – “Didattica a distanza: prime indicazioni” del Garante per la Privacy. In rispetto a quanto notificato dal Garante e dal Ministero, dunque, in piena pandemia non è stato indispensabile procedere alla valutazione di impatto, ex art. 35 del GDPR, valutato che le scuole non effettuano trattamenti di dati personali su larga scala nell’ambito dell’utilizzo del servizio on line di videoconferenza (Google Meet) né la piattaforma Google Workspace permette il monitoraggio sistematico degli utenti. Non si ricorre in ogni modo a nuove soluzioni tecnologiche particolarmente invasive. Le scuole, dunque, devono provvedere in ogni modo ad adottare documentazione (PDDI, regolamento, informative e guide) e i criteri volti a ridurre i rischi per i dati personali dei soggetti interessati. L’esempio di “Valutazione di Impatto (DPIA) “Google Workspace for Education Fundamentals” che alleghiamo è quello, ben strutturato, dell’Istituto Comprensivo Statale “C. Ederle” di Villa Bartolomea (VE) diretto, con particolare competenza manageriale e gestionale dalla Dirigente Scolastico prof.ssa Cristina Ferrazza.